Selgitustaotlus

Kellele
Riigi Infosüsteemi Amet
Pärnu maantee 139A, 15169 Tallinn
[email protected]

Kellelt
Sihtasutus Lapse Heaolu Arengukeskus
Harju maakond, Tallinn, Haabersti linnaosa, Mõisa tn 4, 13522
[email protected]

Selgitustaotlus
01.03.2024
Arvestades seda, et Riigi Infosüsteemi Amet (RIA) koordineerib küberturvalisuse tagamist ning küberintsidendi ennetamist ja lahendamist küberturvalisuse seaduse (KüTS) § 12 lg 1 alusel ning teeb riiklikku ja haldusjärelevalvet nõuete täitmise üle, soovime saada selgitusi KüTS kohaldamise kohta.
Selgitus
Kohaliku omavalitsuse (KOV) üksus kasutab elektroonilist andmebaasi, mida pakub erasektori teenuse osutaja SaaS mudelina. KOV töötajad sisestavad veebiliidese kaudu andmebaasi elanikkonna tugiteenuste kasutuse statistikat (nt osutatud sotsiaalteenused). Tegemist on avaliku ülesande täitmisega ja avaliku teabe seaduse (AvTS) § 3 lg 1 mõttes avaliku teabega. KOV kasutab SaaS teenust oma töö haldamiseks, elanikkonnal ei ole SaaS teenusele ligipääsu ja kasutajaliides on kättesaadav ainult KOV töötajatele. See tähendab, et KOVi elanikud ei sisesta ise andmeid kasutatud tugiteenuste kohta ja andmete töötlus toimub ainult KOVi töötajate kaudu. Tegemist ei ole andmekoguga AvTS § 431 lg 1 mõttes.
Küsimus
Kas kirjeldatud andmebaas on KüTS § 2 p 7 mõttes pilvandmetöötlusteenus, millele kohaldub KüTS, sealhulgas peab KOV hindama valitud SaaS teenuse küberturvalisust juhindudes määrusest „Võrgu- ja infosüsteemi turvameetmete nõuded ja nende kohaldamise ulatus pilvteenuse kasutamisel“?
Selgitus
Täiendavalt soovitame selgitusi turvameetmete rakendamise kohta KOVi kasutatud SaaS teenustele. KüTS § 3 lg 4 p 4 järgi kohaldatakse KüTSis teenuse osutaja kohta sätestatut KOV üksusele. See tähendab, et KOV kui teenuse osutaja peab tagama, et tema valitud SaaS teenus vastab KüTS § 7 lõigetes sätestatud turvanõuetele. Sealhulgas peab KOV järgima turvameetmeid, kui majutab süsteemi teise isiku juures.
Küsimus
Kas KOV peab KüTS § 7 lõigetes sätestatud turvameetmeid järgima ka siis, kui KOV kasutab üldotstarbelist SaaS teenust (nt Google, Meta, Microsoft) avaliku teabe haldamiseks? Juhul kui vastus on jaatav, kas see tähendab praktikas, et nt Google teenuste (Drive, Docs, Forms) kasutamine avalike ülesannete käigus eeldab, et Google rakendab piisavaid turvameetmeid, nt krüpteerib andmed? Kui Google ei paku piisavaid turvameetmeid, kas see välistab KOVi võimaluse kasutada Google teenuseid?

Kellele
Riigi Infosüsteemi Amet
Pärnu maantee 139A, 15169 Tallinn
[email protected]

Kellelt
Sihtasutus Lapse Heaolu Arengukeskus
Harju maakond, Tallinn, Haabersti linnaosa, Mõisa tn 4, 13522
[email protected]

Selgitustaotlus
01.03.2024
Arvestades seda, et Riigi Infosüsteemi Amet (RIA) koordineerib küberturvalisuse tagamist ning küberintsidendi ennetamist ja lahendamist küberturvalisuse seaduse (KüTS) § 12 lg 1 alusel ning teeb riiklikku ja haldusjärelevalvet nõuete täitmise üle, soovime saada selgitusi KüTS kohaldamise kohta.
Selgitus
Kohaliku omavalitsuse (KOV) üksus kasutab elektroonilist andmebaasi, mida pakub erasektori teenuse osutaja SaaS mudelina. KOV töötajad sisestavad veebiliidese kaudu andmebaasi elanikkonna tugiteenuste kasutuse statistikat (nt osutatud sotsiaalteenused). Tegemist on avaliku ülesande täitmisega ja avaliku teabe seaduse (AvTS) § 3 lg 1 mõttes avaliku teabega. KOV kasutab SaaS teenust oma töö haldamiseks, elanikkonnal ei ole SaaS teenusele ligipääsu ja kasutajaliides on kättesaadav ainult KOV töötajatele. See tähendab, et KOVi elanikud ei sisesta ise andmeid kasutatud tugiteenuste kohta ja andmete töötlus toimub ainult KOVi töötajate kaudu. Tegemist ei ole andmekoguga AvTS § 431 lg 1 mõttes.
Küsimus
Kas kirjeldatud andmebaas on KüTS § 2 p 7 mõttes pilvandmetöötlusteenus, millele kohaldub KüTS, sealhulgas peab KOV hindama valitud SaaS teenuse küberturvalisust juhindudes määrusest „Võrgu- ja infosüsteemi turvameetmete nõuded ja nende kohaldamise ulatus pilvteenuse kasutamisel“?
Selgitus
Täiendavalt soovitame selgitusi turvameetmete rakendamise kohta KOVi kasutatud SaaS teenustele. KüTS § 3 lg 4 p 4 järgi kohaldatakse KüTSis teenuse osutaja kohta sätestatut KOV üksusele. See tähendab, et KOV kui teenuse osutaja peab tagama, et tema valitud SaaS teenus vastab KüTS § 7 lõigetes sätestatud turvanõuetele. Sealhulgas peab KOV järgima turvameetmeid, kui majutab süsteemi teise isiku juures.
Küsimus
Kas KOV peab KüTS § 7 lõigetes sätestatud turvameetmeid järgima ka siis, kui KOV kasutab üldotstarbelist SaaS teenust (nt Google, Meta, Microsoft) avaliku teabe haldamiseks? Juhul kui vastus on jaatav, kas see tähendab praktikas, et nt Google teenuste (Drive, Docs, Forms) kasutamine avalike ülesannete käigus eeldab, et Google rakendab piisavaid turvameetmeid, nt krüpteerib andmed? Kui Google ei paku piisavaid turvameetmeid, kas see välistab KOVi võimaluse kasutada Google teenuseid?